Protection des données personnelles

1. Traitements réalisés par cabinet-d-expertcomptable.com en qualité de Responsable de traitement

Aux fins de la gestion des relations commerciales et contractuelles avec le Client, ainsi que de la facturation des prestations, le Cabinet traite les données à caractère personnel suivante :

  • Données d’identification et de contact des représentants et / ou salariés du Client en charge des relations avec le Cabinet ;
  • Coordonnées bancaires du Client lorsqu’elles sont rattachées au Client personne physique.

Ces traitements sont fondés sur l’exécution du présent contrat.

Les données sont conservées :

  • A des fins commerciales, sur la base de l’intérêt légitime du Cabinet à conserver des contacts commerciaux, pour une durée de 3 ans à compter du terme du contrat ou du dernier contact commercial émanant de la personne concernée ;
  • A des fins probatoires, sur la base de l’intérêt légitime du Cabinet à produire une défense en justice, pour une durée de 5 ans à compter du terme du contrat.

Les données traitées par le Cabinet sont sécurisées par des mesures techniques et organisationnelles adaptées afin d’en assurer la confidentialité et l’intégrité.

Les personnes concernées par les traitements susmentionnés disposent des droits d’accès, de rectification, d’effacement et de portabilité (lorsqu’il s’applique) à l’égard des données les concernant, ainsi que de limitation et d’opposition pour motifs légitimes à leur traitement. Elles peuvent les exercer en contactant le Délégué à la Protection des Données à l’adresse dpo@keobiz.fr. Elles disposent également du droit de déposer, à tout moment, une réclamation auprès de la CNIL (Commission Nationale de l’Informatique et des Libertés). 

2.1. Définitions spécifiques

« Données Personnelles » : désigne toute information concernant une personne physique identifiée ou identifiable ; est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

« Traitement », toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction.

« Responsable du traitement » : la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l'Union ou le droit d'un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l'Union ou par le droit d'un État membre.

« Sous-traitant » : la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.

« Violation de données à caractère personnel », une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données.

« Lois et Réglementations Applicables en matière de Données Personnelles » : désigne toutes les lois et réglementations en relation avec la protection des données à caractère personnel et la vie privée, et notamment la loi n° 78-17 relative à l’informatique, aux fichiers et aux libertés du 6 janvier 1978 modifiée et le Règlement européen n° 2016/679 du 27 avril 2016 dit « Règlement Général sur la Protection des Données » (RGPD) à compter de son entrée en application. Dans le cadre de leurs relations contractuelles, les Parties s’engagent à respecter la réglementation en vigueur applicable au traitement de données à caractère personnel et, en particulier, le règlement (UE) 2016/679 du 27 avril 2016 (ci-après, le « RGPD ») et la loi Informatique et Libertés du 6 janvier 1978 modifiée.

2.2. Principes

Dans le cadre de leurs relations contractuelles, les Parties s’engagent à respecter les Lois et Réglementations Applicables en matière de Données Personnelles.

En tant que Sous-traitant, Cabinet-d-expertcomptable.com n’agit que sur instructions documentées du Client en tant que Responsable des Traitements mis en œuvre pour l’exécution du présent contrat.

Le Sous-Traitant s’engage à traiter les Données à Caractère Personnel relevant de la responsabilité du Responsable de Traitement exclusivement pour accomplir les Prestations qui lui sont confiées, pour les seules finalités découlant des termes du Contrat et décrites ci-après.

2.3. Description générale des Traitements de Données Personnelles et finalités

Les données confiées au Cabinet par le Client sont traitées aux fins exclusives de l’exécution des prestations décrites aux paragraphes « nature des travaux » et « détail des prestations comptables du cabinet », ainsi que de toute prestation occasionnelle souscrite conformément au paragraphe « Grille tarifaire : missions occasionnelles ».

 

Objectifs du traitement

Pour la prestation comptable : Établissement des documents et déclarations comptables du Client

Pour la prestation sociale : Établissement des documents et déclarations sociales du Client

Pour la création d’entreprise : Réalisation des formalités administratives relatives à la création et à la mise à jour des statuts de l’entreprise du Client

Nature des opérations réalisées sur les données

Enregistrement des pièces, saisie des informations dans les logiciels métiers et dans les documents établis, transmission des données au Client et aux organismes concernés

Catégories de personnes concernées

Salariés, fournisseurs et clients du Client

Catégories de données traitées

Pour toutes les prestations : Identification, coordonnées, informations d’ordre économique et financier, vie professionnelle

Pour les prestations sociales et de création d’entreprise : vie personnelle, NIR, données de santé en relation avec la gestion des ressources humaines du client (arrêts de travail, adaptation de poste...)

Catégories de destinataires des données

Client

Services habilités du Cabinet

Sous-traitants habilités du Cabinet

Organismes destinataires des déclarations et formalités incluses dans les prestations

 

Le Client s’engage à ne transmettre au Cabinet que les informations nécessaires à l’exécution des prestations souscrites. Le Cabinet ne saurait être tenu responsable des conséquences pouvant résulter de la transmission par le Client de données sans lien avec les prestations.

2.4. Obligations générales du sous-traitant

Pour l’exécution de sa mission, le Sous-traitant s'engage à :

  • Traiter les Données Personnelles pour les seules finalités qui font l’objet de la sous-traitance ;
  • Informer immédiatement le Responsable de traitement s’il considère qu’une instruction constitue une violation du règlement européen sur la protection des données ou de toute autre disposition du droit de l’Union ou du droit des États membres relative à la protection des données ;
  • S’il est tenu de procéder à un transfert de données vers un pays tiers ou à une organisation internationale, en vertu du droit de l’Union ou du droit de l’Etat membre auquel il est soumis, informer le responsable du traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d'intérêt public ;
  • Garantir l’intégrité et la confidentialité des Données Personnelles traitées ;
  • Veiller à ce que les personnes autorisées à traiter les Données Personnelles soient soumises à une obligation appropriée de confidentialité et reçoivent la formation nécessaire en matière de protection des Données Personnelles ;
  • Prendre en compte, s’agissant de ses services, les principes de protection des Données Personnelles dès la conception et de protection des Données Personnelles par défaut ;

En tout état de cause, le Sous-traitant prend l’ensemble des mesures d’ordre technique et organisationnel appropriées pour garantir un niveau de sécurité adapté au risque existant afin de prévenir les risques de destruction accidentelle ou illicite, de perte accidentelle, d'altération, de diffusion ou d'accès non autorisés, ainsi que contre toute autre forme de traitement illicite des Données à Caractère Personnel.

A ce titre, le Sous-Traitant s’engage à mettre en œuvre les mesures de sécurité suivantes :

  • (Décrire les mesures techniques et organisationnelles adaptées au risque)

Le cas échéant, le Sous-traitant aide le Responsable du traitement dans la mise en œuvre de son obligation de sécurité, compte tenu de la nature du Traitement et des informations à sa disposition.

Le délégué à la protection des données du Sous-traitant est disponible à l’adresse dpo@keobiz.fr.

Le Sous-traitant déclare tenir par écrit un registre de toutes les catégories d’activités de Traitement effectuées pour le compte du Responsable de traitement, conformément aux Lois et Règlementations applicables.

Le Sous-traitant met à la disposition du Responsable du traitement la documentation nécessaire pour démontrer le respect de toutes ses obligations et pour permettre la réalisation d'audits, y compris des inspections, par le Responsable du traitement ou un autre auditeur qu'il a mandaté, et contribuer à ces audits. Le Sous-Traitant s’engage, par ailleurs, à garantir toute transparence sur la politique de sécurité et/ou les moyens organisationnels et techniques mis en œuvre pour sécuriser les données traitées pour le compte du Responsable de Traitement. Il s’engage en particulier à transmettre dans les meilleurs délais toute information relative à cette politique et ces moyens sur demande du Responsable de Traitement.

2.5. Obligations du Sous-traitant en cas de sous-traitance ultérieure

En cas de recrutement d’autres sous-traitants, le Sous-traitant devra leur imposer les mêmes obligations, s’assurer qu’ils présentent des garanties suffisantes et en informer préalablement le Client en tant que Responsable du traitement, qui dispose d’un délai de 10 jours ouvrables pour s’y opposer.

A ce titre, le Responsable de traitement autorise le Sous-traitant à faire appel à :

  • Pour l’hébergement : Amazon Web Services, société de droit américain dont les serveurs sont situés sur le territoire de l’Union européenne et soumise aux Clauses Contractuelles Type de la Commission européenne pour les transferts en dehors de l’Union européenne.
  • Pour la saisie : Karlit, société située à Madagascar, soumise aux Clauses Contractuelles Type de la Commission européenne pour les transferts en dehors de l’Union européenne.

Le Sous-traitant tient à la disposition du Responsable de traitement la liste exhaustive et actualisée de ses Sous-traitants ultérieurs.

En tout état de cause, lorsque le sous-traitant ultérieur ne satisfait pas à ses obligations en matière de protection des données, le Sous-traitant initial demeure pleinement responsable devant le Responsable de traitement de l’exécution par le sous-traitant ultérieur de ses obligations.

En cas de nouvelles sous-traitances ultérieures avec transferts de Données Personnelles vers un pays hors Union européenne, le Sous-traitant s’engage à demander l’accord préalable et exprès du Responsable du traitement et à fournir les garanties appropriées dans le cadre de ce transfert.

2.6. Obligations d’assistance et de coopération

1. Violation de données

Le Sous-traitant notifie au Responsable du traitement toute Violation de Données Personnelles dans les meilleurs délais après en avoir pris connaissance en utilisant l’adresse électronique qui lui sera communiquée lors du démarrage de la prestation.

La notification devra décrire la nature de la violation de données, y compris les catégories et le nombre de Personnes concernées, le nom de la personne en charge du traitement concerné, les conséquences de la violation de données, les mesures prises pour y remédier, ainsi que le calendrier envisagé pour les mettre en œuvre, en limiter les conséquences, et en prévenir la récurrence. Cette notification est accompagnée de toute la documentation utile afin de permettre au Responsable du traitement, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente et aux personnes concernées.

Le Sous-Traitant s’engage en outre à rechercher l’origine de la violation de données et à mettre en place toutes mesures correctives afin d’y mettre un terme et d’en limiter les conséquences et la récurrence.

Le Sous-Traitant s’engage également à assister le Responsable de Traitement dans la mise en œuvre des notifications éventuellement nécessaires auprès des autorités compétentes et/ou des personnes concernées.

2. Information et gestion des demandes d’exercice de droit des Personnes concernées

Le Responsable de traitement fournit aux Personnes concernées les informations relatives aux finalités et caractéristiques des traitements de Données à Caractère personnel objets des présentes, au moment de leur collecte.

Les personnes concernées doivent pouvoir exercer leurs droits d’accès, de rectification, d’effacement, de limitation et d’opposition au traitement, de portabilité de leurs Données Personnelles directement auprès des services du Responsable du Traitement qui en accepte la charge.

Dans la mesure du possible, le Sous-traitant doit aider le Responsable du traitement à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des personnes concernées (droit d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du traitement, droit à la portabilité des données), notamment en instaurant toutes les mesures techniques et organisationnelles pertinentes pour en assurer la mise en œuvre effective.

Lorsque les personnes concernées exercent auprès du Sous-traitant des demandes d’exercice de leurs droits, le Sous-traitant doit adresser ces demandes dès réception par courrier électronique à l’adresse électronique qui lui sera communiquée lors du démarrage de la prestation.

3. Analyses d’impact et relation avec l’autorité de contrôle

Le Sous-Traitant s’engage à coopérer et à assister le Responsable de Traitement pour la mise en œuvre des obligations lui incombant. Plus particulièrement, le Cabinet s’engage :

  • A coopérer et assister le Responsable de Traitement afin que ce dernier dispose de l’ensemble des informations nécessaires pour réaliser une analyse d’impact préalablement ou postérieurement à la mise en œuvre d’un traitement ;
  • A coopérer et assister le Responsable de Traitement, et notamment à fournir tout document et/ou information qui serait nécessaire dans le cadre de la consultation préalable de la CNIL obligatoire en cas de risque résiduel élevé révélé par l’analyse d'impact ;
  • A assister le Responsable de Traitement en cas de contrôle et/ou demande de(s) autorité(s) de contrôle (notamment la CNIL).

 

2.7. Retour et/ou suppression des données personnelles

Au terme du Contrat, le Sous-traitant doit, au choix du Responsable de Traitement, soit :

  • Option 1 (par défaut) : renvoyer au Responsable de traitement, par un moyen sécurisé, l’ensemble des Données à Caractère Personnel traitées et, après accusé-réception, détruire toute copie existante dans son système d’information et, le cas échéant, celui de ses sous-traitants ultérieurs. Le Sous-traitant certifie par écrit que la destruction a bien été réalisée, sous réserve des obligations légales et réglementaires de conservation s’imposant à lui et du respect d’une durée d’archivage intermédiaire conforme aux délais de prescription applicables.
  • Option 2 :  détruire l’ensemble des Données à Caractère Personnel traitées pour le compte du Client ainsi que leurs copies existantes dans son système d’information et, le cas échéant, celui de ses sous-traitants ultérieurs. Le Sous-traitant certifie par écrit que la destruction a bien été réalisée, sous réserve des obligations légales et réglementaires de conservation s’imposant à lui et du respect d’une durée d’archivage intermédiaire conforme aux délais de prescription applicables.

En l’absence de choix exprimé par le Responsable de traitement à l’échéance du Contrat, le Cabinet se conforme à l’Option 1.    

2.8. Obligations du Responsable de traitement

Le Responsable du traitement s’engage à :

1.Fournir au Sous-traitant l’accès aux Données Personnelles visées à la présente clause ;

2.Documenter par écrit toute instruction concernant le Traitement des Données Personnelles par le Sous-traitant ;

3.Veiller, au préalable et pendant toute la durée du Traitement, au respect des obligations prévues par le RGPD de la part du Sous-traitant ;

4.Superviser le Traitement, y compris réaliser les audits et les inspections auprès du Sous-traitant.